A gangue de ransomware LockBit está mais uma vez realizando ataques, usando criptógrafos atualizados com notas de resgate que se conectam a novos servidores após a interrupção da aplicação da lei na última semana.
Na última semana, a NCA, FBI e a Europol realizaram uma interrupção coordenada denominada 'Operação Cronos' contra a operação de ransomware do LockBit.
Como parte desta operação, as autoridades apreenderam a infraestrutura, recuperaram os decodificadores e, num constrangedor momento para o LockBit, transformaram o site de vazamento de dados da gangue em um portal de imprensa da polícia.
Logo em seguida, o LockBit configurou um novo site de vazamento de dados e deixou uma longa nota endereçada ao FBI, alegando que as autoridades invadiram seus servidores utilizando uma falha do PHP.
No entanto, em vez de mudar de marca, eles prometeram retornar com uma infraestrutura atualizada e novos mecanismos de segurança para prevenir que a aplicação da lei realize ataques em toda a operação e obtenha acesso aos decodificadores.
A partir de ontem, o LockBit parece estar realizando ataques novamente, com novos criptógrafos e configuração de infraestrutura para sites de vazamento de dados e negociação.
Conforme relatado inicialmente pela Zscaler, a gangue de ransomware atualizou as notas de resgate de seus criptógrafos com URLs do Tor para a nova infraestrutura da gangue.
A BleepingComputer encontrou mais tarde amostras dos criptógrafos enviadas ao VirusTotal ontem [Amostra] (compartilhada pela MalwareHunterTeam) e hoje [Amostra], contendo as notas de resgate atualizadas.
A BleepingComputer também confirmou que os servidores de negociação da operação estão ativos novamente, mas funcionam apenas para as vítimas de novos ataques.
No momento da desativação do LockBit, a operação de ransomware tinha aproximadamente 180 afiliados trabalhando com eles para realizar ataques.
Não se sabe quantos ainda estão trabalhando com o Ransomware-como-serviço, já que um deles criticou publicamente a operação no X.
No entanto, o LockBit afirma que está agora recrutando pentesters experientes para se juntar novamente à sua operação, o que provavelmente levará a um aumento dos ataques no futuro.
Se isso é um grande plano para o LockBit desaparecer lentamente e mudar de marca, como vimos com o Conti, ainda está para ser visto.
Por enquanto, no entanto, é mais seguro supor que o LockBit continua sendo uma ameaça.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...